Platform
wordpress
Component
addon-elements-for-elementor-page-builder
Opgelost in
1.12.13
CVE-2024-1358 beschrijft een Directory Traversal kwetsbaarheid in de Elementor Addon Elements plugin voor WordPress. Deze kwetsbaarheid stelt geauthenticeerde aanvallers in staat om willekeurige PHP-bestanden op de server te includeren, wat kan leiden tot blootstelling van gevoelige informatie. De kwetsbaarheid treft versies van de plugin tot en met 1.12.12. Een patch is beschikbaar en wordt sterk aanbevolen.
Een succesvolle exploitatie van deze Directory Traversal kwetsbaarheid kan aanzienlijke gevolgen hebben. Een geauthenticeerde aanvaller, met minimaal contributor-toegang, kan PHP-bestanden op de server includeren. Dit kan leiden tot het blootleggen van configuratiebestanden, database credentials, of zelfs de mogelijkheid om willekeurige code uit te voeren op de server, afhankelijk van de bestanden die worden geïncludeerd. De impact is vergelijkbaar met andere Directory Traversal kwetsbaarheden waarbij de aanvaller toegang krijgt tot bestanden buiten de toegestane directory. De ernst van de impact hangt af van de gevoeligheid van de bestanden die toegankelijk zijn via deze exploitatie.
CVE-2024-1358 is openbaar bekend en er zijn waarschijnlijk reeds public proof-of-concepts beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). De CVSS score van 8.8 (HIGH) duidt op een aanzienlijke kans op exploitatie.
WordPress sites using the Elementor Addon Elements plugin, particularly those with contributor-level users or higher, are at risk. Shared hosting environments where users have limited control over server file permissions are especially vulnerable. Sites with outdated plugin versions are also at increased risk.
• wordpress / composer / npm:
grep -r "render function" /var/www/html/wp-content/plugins/elementor-addon-elements/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/elementor-addon-elements/some_file.php | grep "PHP/" # Check for PHP file exposuredisclosure
Exploit Status
EPSS
2.61% (86% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-1358 is het upgraden van de Elementor Addon Elements plugin naar een beveiligde versie. Controleer de Elementor website voor de meest recente versie. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het beperken van de rechten van gebruikers met contributor-toegang helpen. Daarnaast kan het implementeren van een Web Application Firewall (WAF) met regels om Directory Traversal pogingen te detecteren en blokkeren een extra beveiligingslaag bieden. Controleer ook de WordPress-configuratie op onnodige bestandsrechten.
Actualice el plugin Elementor Addon Elements a la última versión disponible. La vulnerabilidad de recorrido de directorios permite la inclusión de archivos PHP arbitrarios, lo que podría exponer información sensible. La actualización corrige esta vulnerabilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-1358 is a Directory Traversal vulnerability in the Elementor Addon Elements WordPress plugin, allowing authenticated attackers to include arbitrary PHP files.
You are affected if you are using Elementor Addon Elements version 1.12.12 or earlier. Check your plugin version and upgrade immediately.
Upgrade the Elementor Addon Elements plugin to the latest version, which contains a patch for this vulnerability. If immediate upgrade is not possible, restrict file access permissions.
While no widespread exploitation has been confirmed, the vulnerability's ease of exploitation makes it a likely target. Monitor your systems for suspicious activity.
Refer to the Elementor security advisory for detailed information and updates: [https://elementor.com/security/](https://elementor.com/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.